セキュリティ: 基本忘れるべからず
高度なセキュリティ テクノロジに多くの関心 (および多くの資金) を注いでも、基本を見落とさないようにして損をすることはありません。
John Vacca
出典: 『Computer and Information Security Handbook』(Elsevier Science & Technology books、2009 年)
多くの組織は、境界領域の防衛に対処するために膨大な時間とコストを費やしています。境界領域の防衛は確かに重要ですが、組織では、セキュリティに関する基本的なプロセスや手順を見落としていることがあります。単純なパスワードの管理戦略や構成のテクニックだけでも、セキュリティ体制の強化に大いに役立ちます。
アカウントの既定のパスワードを変更する
ほぼすべての新品のネットワーク デバイスは、パスワードとユーザー名の組み合わせが設定された状態で販売されています。この組み合わせは、セットアップ関連の資料に記載されており、数多くの場所で文書化されています。非常に多くの場合、このようなデバイスは、インターネットやその他社内ネットワークへの入り口となります。
このような既定のパスワードをデバイスの構成時に変更しないと、攻撃者がシステムに侵入する小さな抜け穴になります。ハッカーは、パスワードの一覧をインターネットで見つけることが可能で、多くのベンダーは、自社のオンライン マニュアルに既定のパスワードを記載しています。
堅牢なパスワードを使用する
PC やノート PC の向上した処理能力と、Passware 製品や AccessData Password Recovery Toolkit のようなパスワード解読ソフトウェアを利用すれば、パスワードは、きわめて簡単に解読できます。そのため、堅牢なパスワードを作成することは非常に重要になります。ただし、複雑なパスワードをユーザーが覚えておくことは容易ではないため、書き留めなくても覚えられるパスワードを作成することが課題になります。
1 つの解決策として、"I like to eat imported cheese from Holland." (オランダから輸入されたチーズが食べたい) のようなフレーズの各単語の頭文字を使用できます。この場合は、IlteicfH という大文字と小文字を含む 8 文字のパスワードが完成します。I の代わりに感嘆符を使用し、e の代わりに数字の 3 を使用すると、!lt3icfH というさらに複雑なパスワードにすることができます。これは、かなり堅牢で、ユーザーが覚えやすいパスワードです。
不要なポートを閉じる
コンピューターのポートは、論理的な通信におけるネットワークに接続するアクセス ポイントです。コンピューター上で開いているポートを知ることで、利用できるアクセス ポイントの種類を把握できます。よく知られているポート番号は 0 ~ 1023 です。
以下に、見分けやすいポートとその用途をいくつか示します。
- ポート 21: FTP
- ポート 23: Telnet
- ポート 25: SMTP
- ポート 53: DNS
- ポート 80: HTTP
- ポート 110: POP (Post Office Protocol)
- ポート 119: NNTP (ネットワーク ニュース転送プロトコル)
不必要に開かれているポートは、システムへの侵入口になります。突然開いたポートは、悪意のあるソフトウェアの痕跡である可能性があります。そのため、開いているポートを特定することは、重要なセキュリティ プロセスです。開いているポートを特定するのに役立つツールはいくつかあります。組み込みのコマンドライン ツール Netstat では、次のスイッチを使用して、開いているポートとプロセス ID を特定できます。
- a: すべての接続とリッスンしているポートを表示する
- n: アドレスとポート番号を数値形式で表示する
- o: 各接続に関連付けられた所有プロセス ID を表示する
ポート管理に役立つ他のツールには、CurrPorts (特定の区切り文字を使用した形式で結果をエクスポートできる GUI ツール) やマイクロソフトが提供する TCPView があります。
更新プログラムをインストールする
ほぼすべての OS に、更新プログラムを自動的に確認するメカニズムが用意されています。この通知システムは、常時有効にしておく必要があります。更新プログラムの自動インストールについては、その是非が議論されていますが、少なくとも更新プログラムの通知は受け取るようにする必要があります。修正プログラムや更新プログラムをインストールしたときに、解決される問題よりも新たに発生する問題の方が多いことは知られているので、自動インストールを望まないユーザーもいるかもしれません。ただし、更新プログラムをインストールせずに長期間放置することは、システムを不必要に攻撃の危険にさらすことになるため、避ける必要があります。Microsoft Baseline Security Analyzer は、システムの更新プログラムを追跡できるシンプルなツールですが、その他の基本的なセキュリティ構成の調査にも使用できます。
個人的な作業に管理者アカウントを使用しない
一般的なセキュリティに関する脆弱性は、システムの管理者が、管理者権限を持った状態でコンピューターにログインしているときに管理作業や個人的な作業を行った場合に増大します。電子メールの確認、インターネットの閲覧、問題のあるソフトウェアのテストなどの作業は、悪意のあるソフトウェアにコンピューターを公開するおそれがあります。これは、悪意のあるソフトウェアが管理者特権を使って実行され、深刻な問題を引き起こす可能性があることも意味します。このような事態を防ぐには、標準ユーザー アカウントを使用してシステムにログインし、悪意のあるソフトウェアにコンピューターの制御が奪われないようにする必要があります。
物理的なアクセスを制限する
このようにテクノロジばかりに気を取られていると、セキュリティに関する非技術的な側面を見落としやすくなります。侵入者がサーバーや他のインフラストラクチャ資産に物理的にアクセスできるようになると、組織は侵入者に支配されます。重要なシステムは、安全な場所に設置してください。安全な場所とは、職務の一環としてシステムにアクセスする必要があるユーザーだけに入室を制限できる場所です。
まず、鍵のかかった部屋が適しています。その部屋の鍵はサーバー管理者だけが持ち、スペアの鍵は重役室内の安全な場所に保管しておきます。部屋には、開閉可能な窓は設けず、サーバー ルームやネットワーク運用センターであることを示す札や表示は付けません。他の従業員、守衛、または業者が入室できる個室には、何があってもサーバー機器は設置しないでください。サードパーティによる脆弱性の評価を行うときに、セキュリティ メカニズムの有効性を確認します。
紙についても忘れずに
デジタル テクノロジの登場によって、過去に使用されていた情報窃盗の手口が紙であったことを忘れている人もいるでしょう。紙の文書を管理するのはきわめて単純です。鍵のかかる書類棚を使用して常時施錠するようにし、機密文書のコピー、文書の草稿、期限の過ぎた社内伝達文書などは、シュレッダーにかける必要があります。印刷された文書に関する推奨事項と禁止事項を従業員が把握できるように方針を作成します。
次に紹介する企業秘密の窃盗例では、紙の文書を保護する重要性が浮き彫りになっています。FBI 当局によると、Coca-Cola の社員である Joya Williams が、自分のデスクでファイルに目を通し、"文書をかばんに入れている" ところを社内の監視カメラが捕らえていました。その後、6 月に、FBI のおとり捜査官は、アトランタ空港でこの事件の共犯者と接触し、Coca-Cola 社の機密文書と当時開発中だった製品サンプルが入ったアルマーニのバッグと引き換えに、ガールスカウト クッキーの黄色い箱に入れた 30,000 ドルを渡しています。
これらの物理的な環境とデジタル環境を保護する基本手順は、セキュリティのスタート地点にすぎません。これらの手順は、安全な組織を構築するために、まずやるべきことを知る手掛かりになります。
.jpg)
John Vacca は、米国オハイオ州ポメロイを拠点として、情報技術コンサルタント、プロのライター、編集者、およびレビュー担当者として活動しています。また、国際的には、ベストセラー作家として知られています。彼は、高度なストレージ、コンピューター セキュリティ、および航空宇宙テクノロジの分野で 50 冊を超える書籍を執筆しています。また、1988 年から 1995 年に NASA を退職するまで、NASA の宇宙ステーション プログラム (フリーダム) と国際宇宙ステーション プログラムで構成管理スペシャリスト、コンピューター スペシャリスト、およびコンピューター セキュリティ職員 (Computer Security Official、CSO) を務めていました。
この書籍と Elsevier から出版されたその他の書籍については、Elsevier Science & Technology books (英語) をご覧ください。